[发明专利]基于互相关的LDDoS攻击时间同步和流量汇聚方法

说明书

技术领域

本发明涉及一种低速率拒绝服务LDDoS(Low-rate Distributed Denial of Service)攻击的方法，它提高了LDDoS攻击的效果。它属于计算机网络安全领域入侵检测(Intrusion Detection)技术领域。

背景技术

拒绝服务攻击是一种使受攻击的主机、服务器、路由器等网络设备无法正常提供或接受服务的蛮力攻击。攻击者通过向受攻击者发送大量毫无价值的数据包来占用大量网络资源(如网络带宽或CPU周期等)，以此达到使受攻击者主机系统无法正常运转甚至瘫痪的目的，对于主机性能指标不高的受攻击者来说，DoS攻击的效果会更好、更明显。实施DoS攻击不需要十分复杂的技巧，并且随着软件工艺的提高，开发DoS攻击工具越来越容易，网络的普及也使普通人可以很容易的下载到现成易用的攻击工具。攻击者甚至不需要了解复杂的网络结构和系统漏洞，仅通过简单的操作就可以实施一次DoS攻击。DoS攻击可以作为前奏配合完成其他形式的攻击，DoS攻击者还可以通过伪造IP地址隐藏自己的身份使对方很难追踪攻击来源。

随着网络性能不断改进，带宽的大幅提高使得单源DoS攻击的效果大打折扣，于是出现了分布式拒绝服务攻击。DDoS攻击就是通过大量分布在各处的主机共同实施DoS攻击，是DoS攻击的集群攻击方式。DDoS攻击相对于传统的DoS攻击实施起来更复杂、攻击源更分散、攻击流量更大，因此更难检测和防范，攻击所产生的危害也更大。自从1999年首次发现DDoS攻击以来，截止至今DDoS攻击每年都给全球经济造成上百亿美元的损失，现在已经成为Internet面临的最严峻的威胁之一。2002年，作为互联网数据传输的核心——13台根域名服务器——遭受到DDoS攻击，致使其中9台服务器彻底瘫痪，服务中断长达1小时。2007年2月，6台根域名服务器再次受到DDoS攻击，其中两台受到了很明显的影响，攻击时间长达8小时。这些著名的案例表明相对于传统的DoS攻击，DDoS攻击是一种更加强悍的攻击手段。

LDDoS攻击是DDoS攻击的另外一种形式。与DDoS攻击相比它具有平均流量小，隐蔽性强的特点，产生的破坏影响比较大，容易被黑色产业链利用，作为盈利的手段，给经济造成巨大的损失。

2001年，低速率拒绝服务攻击首次由AstaNetworks公司在Abilene骨干网发现。通过6个月的流量分析，研究人员发现这种具有脉冲特征的新型DoS攻击能够长时间存在并且不能被现有的检测机制所发现，因此具有极高的隐蔽性，这种攻击不一定能使目标系统瘫痪，但是可以大大降低系统的性能。从此以后，针对LDoS的攻击、检测防御成为网络安全研究领域的新课题。2003年在计算机网络方面的顶级会议SIGCOMM上，Rice大学的Aleksandar Kuzmanovic首次提出了针对TCP协议的LDoS攻击并且给出了一个数学模型和相关测试，为后面的研究奠定了基础。2004的ICNP(IEEE International Conference on Network Protocols)会议以及2005年的INFOCOM会议上，Guirguis提出了RoQ(Reduction of Quality)攻击，利用TCP协议中拥塞控制以及路由器队列管理机制中的漏洞降低路由器的性能。2005年的NDSS(Network and Distributed System Security Symposium)会议上，Xiapu Luo又提出了PDoS(Pulsing DoS)攻击，还有其他形式的LDoS攻击但原理都是类似的。LDDoS是LDoS的分布式攻击形式，如同DDoS与DoS的关系一样，LDDoS攻击就是LDoS的集群攻击方式。

针对LDDoS的检测和防御方法更多，对于传统DDoS攻击的一般检测方法主要有基于网络的入侵检测系统和基于主机的入侵检测系统这两种。但这两种检测方法都是基于DDoS长时间、高强度的网络流量异常统计特性，而LDDoS并没有这样的特征，所以传统的检测方式并不能检测出LDDoS。针对LDDoS，YU CHEN，KAI HWANG等提出了基于数字信号处理的检测方法，主要思想是提取流量的频域特性来进行分析，开创了基于信号处理方法的检测。之后Yu-KwongKwok等又提出了基于“随机丢包模式”的算法等。